Cyber security: l’UE responsabilizza le imprese

La presente newsletter ha l’obiettivo di riassumere i recenti sviluppi normativi comunitari in tema di cyber security, prendendo spunto dal parere dell’EDPS dello scorso 14 novembre 2022 sulla proposta del Cyber Resilience Act, che insieme alla Direttiva NIS 2 e ad alcuni provvedimenti settoriali, ad esempio in ambito bancario, sta delineando un quadro legislativo fondato sulla responsabilità di tutti i soggetti coinvolti nella creazione e diffusione di prodotti e servizi digitali, con riferimento alla necessità di proteggere i dati, soprattutto personali, dai sempre più frequenti attacchi informatici.

Cos’è il Cyber Resilience Act?

Allo stato attuale, il c.d. Cyber Resilience Act è una proposta di regolamento UE, presentata il 15 settembre 2022, allo scopo di migliorare il funzionamento del mercato interno tramite la creazione di un quadro giuridico uniforme circa i requisiti essenziali di sicurezza informatica per il commercio di prodotti con elementi digitali.

L’esigenza di un nuovo provvedimento normativo nasce essenzialmente da due gravi problemi della contemporaneità: il basso livello di sicurezza informatica – si pensi a come la diffusione di mezzi di cyber security non riesca a fronteggiare il crescente numero di attacchi hacker[1] – e la rilevante asimmetria informativa tra imprese e consumatori. A queste problematiche, conseguono rispettivamente gli obiettivi generali del nuovo testo di legge: (i) rendere hardware e software più sicuri, responsabilizzando tutti i soggetti coinvolti nel ciclo di vita degli stessi e introducendo una certificazione ad hoc; (ii) consentire agli utilizzatori di tenere conto della cybersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali.

Il quadro normativo attuale: la NIS 2

Il nuovo regolamento integrerà la direttiva “NIS 2”[2], pubblicata in Gazzetta Ufficiale lo scorso 27 dicembre, che prevede (i) la rideterminazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati, (ii) il potenziamento degli organi e delle attività di supervisione a livello comunitario (con il c.d. progetto “EU-Cyclone”), (iii) l’estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, (iv) la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici.

I soggetti a cui è rivolta la normativa[3] sono chiamati ad implementare il sistema interno di gestione della cyber security, attraverso lo svolgimento di analisi e valutazione dei rischi di sicurezza, l’adozione di procedure per la gestione degli eventuali incidenti, la previsione di un’attività di monitoraggio continuo dell’infrastruttura IT.  Non solo, gli stessi dovranno contribuire alla protezione dell’intera supply chain, controllando i propri fornitori.

Il rapporto con il GDPR

È evidente come il nuovo regolamento non possa prescindere da un esame di coerenza e coesistenza con il GDPR, le cui previsioni di carattere generale trovano inevitabilmente applicazione con riguardo a molte delle situazioni che la NIS 2 e la legge in formazione si propongono di regolare.

La tutela della privacy è già contemplata nel nuovo testo: l’allegato I della proposta di regolamento sancisce che i prodotti con elementi digitali trattano solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione all’uso previsto del prodotto (principio di minimizzazione), proteggono l’integrità e la riservatezza dei dati personali conservati, trasmessi o altrimenti trattati e sono progettati, sviluppati e prodotti per limitare le superfici di attacco e per ridurre l’impatto degli incidenti (principio di sicurezza).

Il parere dell’EDPS

La compliance delle nuove previsioni con lo schema del GDPR è stata oggetto di un parere dello European Data Protection Supervisor (EDPS, Opinion 23/2022) dello scorso 15 novembre, che ha colto anzitutto l’urgenza e l’importanza di un intervento normativo in materia di protezione cyber dei prodotti digitali, sottolineando come ai principi di sicurezza e minimizzazione, saggiamente annoverati trai requisiti essenziali di cybersicurezza, vadano affiancati anche i principi di privacy by design e by default, per rafforzare ulteriormente la tutela del dato informatico a partire dalla progettazione dei prodotti.

Fermo il giudizio positivo sul testo esaminato, l’EDPB si sofferma sulla necessità di chiarire meglio e il rapporto con la normativa privacy, suggerendo di affermare a chiare lettere che il GDPR continuerà a trovare applicazione e che le eventuali certificazioni comunitarie su temi cyber non garantiranno parimenti la compliance del soggetto attestato alla normativa privacy.

Le prospettive per le aziende

In Europa si sta disegnando un quadro normativo decisamente più completo e complesso in materia di cyber security, che interessa non solo i creatori e distributori di prodotti digitali, maggiormente toccati dal Cyber Resilience Act, ma anche imprese che offrono servizi di diverso tipo – vedasi l’ambito di applicazione della direttiva NIS 2; quest’ultimo atto è stato approvato dal Parlamento UE lo stesso giorno del Digital Operational Resilience Act (c.d. regolamento “DORA”), provvedimento specifico per il settore finanziario, che fa sempre più affidamento su software e processi digitali, che troverà applicazione dal 17 gennaio 2025.

La crescente attenzione del legislatore comunitario al tema cyber deve essere accompagnata da una sempre maggiore consapevolezza da parte delle aziende dell’importanza di proteggere le informazioni digitali, in particolare quelle che costituiscono dati personali, dai diversi rischi esistenti. Valutazione dei rischi, adozione di adeguate procedure, monitoraggio del rispetto delle stesse, sono tutte azioni di buona prassi che presto diventeranno obbligatorie in molti settori.

Nel periodo che rimane prima dell’entrata in vigore dei provvedimenti citati verranno sempre più chiariti i dettagli degli stessi, rendendo più facile capire in concreto se e quali strumenti dovrà adottare ogni singola azienda. Nel frattempo, risulta senz’altro opportuno verificare in cosa e come la propria struttura informatica possa divenire più sicura, quanto meno per quelle aziende che conservano digitalmente dei dati personali, e che dunque già devono rendere la struttura stessa compliant con le previsioni del GDPR.

Lo Studio è a disposizione per qualsiasi chiarimento

[1] Il Rapporto Clusit di ottobre 2022 riporta 1.141 attacchi in Italia nei primi sei mesi dell’anno 2022, numero che rappresenta un incremento del 53% rispetto allo stesso periodo dell’anno precedente.

[2] Da “Network Information and Security System”. Gli Stati membri hanno 21 mesi per adottare i rispettivi procedimenti di recepimento.

[3] Tra i quali: pubbliche amministrazioni; service provider pubblici di comunicazione elettronica; provider di servizi digitali; fornitori del trattamento delle acque reflue e la gestione dei rifiuti; chi opera nella fabbricazione di prodotti essenziali; servizi postali e di corriere; diversi soggetti nel settore sanitario.